manuel-r
Goto Top

Andere Firmen - andere Sitten

Bei uns hat heute ein neuer Mitarbeiter angefangen. Der musste natürlich sein Initial-Passwort ändern.

MA: Ok, hab ich gemacht. Und wem gebe ich das Kennwort jetzt?

IT: Natürlich niemandem.

MA: In der alten Firma hatte einer alle Kennwörter für den Fall, dass mal jemand an den PC muss...

IT: Sollte das im Ausnahmefall tatsächlich mal notwendig sein ändern wir dein Passwort. Dann bekommst du wenigstens mit, dass da was war. Im Regelfall ist das aber überhaupt nicht notwendig.

MA: Ok...


Andere Firmen - andere Sitten 🤷🏼‍♂️

Manuel

Content-Key: 5219742723

Url: https://administrator.de/contentid/5219742723

Printed on: May 21, 2024 at 10:05 o'clock

Member: RoadRage3
RoadRage3 Jan 05, 2023 at 12:04:09 (UTC)
Goto Top
🤦‍♂️
Member: Tommy70
Tommy70 Jan 05, 2023 at 12:12:46 (UTC)
Goto Top
Man waren die in der alten Firma kompliziert. 🤦‍♂️
Einfach jedem Mitarbeiter als Kennwort Pa$$word vorgeben und das ändern nicht zulassen.
Macht es für alle viel einfacher. 😉😂
Member: Mr-Gustav
Mr-Gustav Jan 05, 2023 at 13:15:59 (UTC)
Goto Top
Das Problem kenn ich face-smile
War mal bei einer Firma bei der es verboten war das zugeteilte Kennwort zu ändern. Waren
alle unterschiedlich. Der IT Dienstleister und 4 Leute in der Firma hatten alle Kennwörter inkl.
der Administrativen Zugänge.

Und was soll ich sagen es ist dann etwas ( damals) vorgefallen und es wurde wie es natürlich
üblich ist ein Schuldiger gesucht wieso weshalb das System ( die Produktion stand ca. 2 kompl.
Tage still ) ausgefallen war. Muss ja einer schuld sein nicht war ? Ein MA ( weiss bis heute nicht wer )
hat auf dem DC und auf dem SQL Server wie wild Software installiert weil er irgendwas umsetzen
wollte ( keine Ahnung was, war aber irgendein Share nach Extern Tool wo es zig Anleitungen gibt )
und dann war der Server vom AD platt ( konnte aus Backup gerettet werden ) und der SQL hat nur noch
Müll von sich gegeben.

Also wer ist schuld ?
Meine Aussage von damals hat dem GF natürrlich nicht so ganz gepasst als ich in einem Meeting
sagte das es Prozipiell nur die Leute gewesen sein könnten die Zugriff auf die Kennwörter haben.
Dan langes hin und her bla bla bla. Zu Glück hab ich damals die Vereinbarung für die PC / Systemnutzung
aufgehoben in der das alles geregelt war mit Kennwort darf nicht geändert werden und der und der hat
das Kennwort. Privatnutzung Untersagt usw. War dann erstmal formal raus. Wenn mir jemand hätte versuchten
wollen etwas zu unterstellen dann wäre ich mit dem Schreiben so vor das Arbeitsgericht oder vergleichbar
gegangen. Mein Anwalt sagte damals: Zurücklehnen und abwarten. Das Schreiben ist ein Freibrief für dich.
Selbst wenn du es warst, es gab andere Leute die deine zugangsdaten hatten also muss hier erstmal bewiesen
werden das du es warst was schwierig wird. ( Ja ich weiß schwirig hießt nicht unmöglich )
Member: fisi-pjm
fisi-pjm Jan 05, 2023 at 13:57:18 (UTC)
Goto Top
Wenn ich auch bissel Senfen darf face-smile
Ich bekomme als Mitarbeiter im Systemhaus auch viel mit. Wir sind immer auf Umgebungen unterwegs, in der die Infrastruktur nicht von uns, sondern von der Firma selbst oder einem externen gemacht wird.

Da hab ich wirklich schon alles mitbekommen. Von 3 Ebenen mit jeweils Multifaktor Authentifizierung bis man an das gewünschte System kommt bis zu wir nutzen alle den gleichen Account ohne Passwort, der hat auch Adminrechte, war da wirklich schon alles dabei.
Interessanterweise lassen sich von diesen Situationen aber auch meistens Rückschlüsse auf die Zahlungswilligkeit der Kunden schließen.
Poor Input - Poor Output. Das Prinzip gilt einfach überall.
Argumentativ sind wir dann übrigens auf dem Niveau "das war doch schon immer so und hat noch nie jemand gestört"

Grüße
PJM
Member: Dani
Dani Jan 05, 2023 updated at 14:15:59 (UTC)
Goto Top
Moin,
Interessanterweise lassen sich von diesen Situationen aber auch meistens Rückschlüsse auf die Zahlungswilligkeit der Kunden schließen
Zahlungswillig bin ich eigentlich nie. face-wink

Poor Input - Poor Output. Das Prinzip gilt einfach überall.
Sag das mal meiner Freundin.... face-big-smile

Argumentativ sind wir dann übrigens auf dem Niveau "das war doch schon immer so und hat noch nie jemand gestört"
war bei uns auch lange so... bis Sicherheitsbeauftragte und Datenschutzbeauftragte in Form von eigenständige Teams geschaffen wurde. Da hat es am Anfang fast wöchentlich Meetings mit Beschwerden aus der Belegschaft gegeben. Nach knapp 14 Jahren ist nun alles geregelt.


Gruß,
Dani
Member: it-fraggle
it-fraggle Jan 05, 2023 at 15:31:47 (UTC)
Goto Top
Das Spiel kenne ich nur zu gut. Früher war ich die einzige Verteidigungslinie zwischen IT-Sicherheit und Benutzerwillen. Und natürlich waren es die User, die oft an der GF gearbeitet haben und ihn so lange bequatscht haben bis er "mich sich zur Brust genommen" hat. Das waren immer echt unangenehme Gespräche und sehr nervig, weil ich jedes Mal lang und breit darlegen musste wieso Dies und Das nötig war. Ich meine... Schalt doch mal die Macros ab. Mal sehen was passiert. ^^ Kennt jeder von uns. Oder führe einen DC ein und nehme auf dem Weg den Usern die Adminrechte weg. Da wirst du grau bei...
Member: Lochkartenstanzer
Lochkartenstanzer Jan 05, 2023 updated at 15:44:48 (UTC)
Goto Top
Moin,

Das erlebt man schon das eine oder andere mal. Aber in einer Dreimann-Bude öfter als in größeren Firmen.

Letztens wieder eine Minifirma gehabt, bei der die Arbeitsplätze "taskbezogen" und nicht personenbezogen waren. Da arbeiten dann alle drei dann mit den gleichen Paßwörtern (aber wenigstens nicht mit Adminrechten).

lks
Mitglied: 2423392070
2423392070 Jan 05, 2023 at 15:44:59 (UTC)
Goto Top
Zitat von @Tommy70:

Man waren die in der alten Firma kompliziert. 🤦‍♂️
Einfach jedem Mitarbeiter als Kennwort Pa$$word vorgeben und das ändern nicht zulassen.
Macht es für alle viel einfacher. 😉😂

Unrealistisch und übertrieben... 123456 ist der Branchenstandard.
Member: Lochkartenstanzer
Lochkartenstanzer Jan 05, 2023 updated at 16:13:46 (UTC)
Goto Top
Zitat von @2423392070:

Unrealistisch und übertrieben... 123456 ist der Branchenstandard.

Und ich dachte "geheim", weil das sicherer als 123456 ist. face-smile

Und wenn man es ganz schwer machen will, nimmt man "gehheim", aber das fassen manche Mitarbeiter manchmal als vorzeitigen Feierabend auf.

lks

PS. geheim/gehheim sind wunderbare Initalpaßwörter, die bei Mitarbeitern zu verwunderten Gesichtsausdrücken führen, wenn man sagt "Das Paßwort ist geheim/gehheim". face-smile
Member: maretz
maretz Jan 05, 2023 at 18:11:44 (UTC)
Goto Top
Naja - mal ernsthaft, es gibt nunmal in div. Firmen verschiedene Anforderungen. Sei es nun das die Passwörter zwischen den Kollegen getauscht werden oder das die eh per Aufkleber am Monitor kleben,...

Man könnte ja genausogut anders argumentieren und sich darüber wundern das es scheinbar in einigen Firmen für einen Admin einfach möglich ist das der-/diejenige allein das Passwort eines Mitarbeiters zurücksetzt bzw. Zugriff auf Daten bekommt - in anderen Unternehmen gilt hier eben das "4-Augen-Prinzip" und die div. Leute haben eben nur nen Teil des Passwortes bzw. Tokens.

Und man könnte sogar soweit gehen das ja einige Admins immernoch meinen das es viel sicherer ist ein möglichst komplexes Passwort zu verlangen - obwohl lange klar ist das die Anwender sich einen Weg überlegen werden das zu umgehen (halt dann Pa$$wort1 o.ä.) bzw. die Passwörter dann erst reicht weitergegeben werden. GRADE wenn die IT-Abteilungen mal wieder jedes Amt in den Schatten stellen was die Bürokratie angeht (von wegen ohne Ticket nich mal ne simple Frage beantworten, Telefon wird gar nicht erst abgenommen,...).

Von daher würde ich da nicht einfach mal pauschal über andere Firmen urteilen - sofern man nicht genau weiss warum und wieso die das so gelöst haben. Es ist ja nichts anderes als wenn man eben die normalen Default-Passwörter verwendet und die Mitarbeiter die für die nächsten 200 Jahre auch so verwenden...
Member: manuel-r
manuel-r Jan 05, 2023 at 18:23:51 (UTC)
Goto Top
@maretz
Spätestens wenn "Hinz und Kunz" die Passwörter der Personen kennen (und ungehemmt nutzen können) die mit Personalangelegenheiten oder anderen personenbezogenen Daten zu tun haben wird es im Sinne der DSGVO gefährlich. Die schreibt nämlich die Anwendung technisch-organisatorischer Mittel (TOMs) explizit vor.
Member: maretz
maretz Jan 05, 2023 at 19:25:21 (UTC)
Goto Top
Zitat von @manuel-r:

@maretz
Spätestens wenn "Hinz und Kunz" die Passwörter der Personen kennen (und ungehemmt nutzen können) die mit Personalangelegenheiten oder anderen personenbezogenen Daten zu tun haben wird es im Sinne der DSGVO gefährlich. Die schreibt nämlich die Anwendung technisch-organisatorischer Mittel (TOMs) explizit vor.

Das stimmt natürlich - nur: Du kannst eben technisch nicht das unterbinden was "vorm" rechner schief geht. Dabei ist es eben egal ob du jetzt komplexe Passwörter verlangst, 2FA implementierst,... - wenn die Personen vorm Rechner nicht verstehen WARUM das so ist dann finden die auch Wege um das zu umgehen... Daher ist eben Sicherheit immer ein Kompromiss zwischen "wirklich sicher" und "störend". Du kannst zwar ein paar Dinge machen - zB. natürlich Passwörter die am Monitor kleben abreissen - aber du kannst ja nicht permanent alle Schreibtische durchsuchen,... (und darfst das idR auch nicht)... Und ich denke da muss man eben abwägen wo man den Mittelweg findet und wogegen man sich überhaupt schützen will. Und das ist natürlich auch Abteilungsabhängig - so sollte es natürlich dem Mitarbeiter der Perso klar sein das der/die ihre Passwörter nich einfach im Laden ans Schwarze Brett klebt, genauso wie die ausgedruckte Gehaltsliste natürlich nicht offen aufm Schreibtisch liegen sollte wenn Kollege/in X rumkommt...
Member: manuel-r
manuel-r Jan 05, 2023 at 19:59:21 (UTC)
Goto Top
so sollte es natürlich dem Mitarbeiter der Perso klar sein

Es ist bei sowas aber nicht nur die Perso betroffen. An die denkt zwar jeder zuerst, aber du hast da u.a. noch
  • die Buchhaltung deren Mitarbeiter über das Onlinebanking Zugriff auf die Überweisungen und damit natürlich auch auf die Nettogehälter haben
  • den Mitarbeiter der die Knöllchen bearbeitet aus denen hervorgeht wo Kollege X zum fraglichen Zeitpunkt war
  • die Mitarbeiter aus dem Kundensupport mit Zugriff auf Kundendaten von Privatpersonen
  • den Mitarbeiter der ggf. den Einsatzplan erstellt. Da stehen auch Angaben zu Urlaub, Krank, gearbeitete Stunden usw. drin
Die Liste lässt sich noch lange fortsetzen und nichts davon geht andere Mitarbeiter was an die nichts mit dem Aufgabengebiet zu tun haben.
Natürlich auch nicht die Admins. Aber Admins sind Admins und können sich bei Bedarf und natürlich unter Beachtung der Rechtslage auf (nahezu) alles Zugriff verschaffen. Deswegen ist das auch ein vertrauensvoller Job den man nicht unbedingt der neugierigsten und geschwätzigsten Person im Unternehmen zukommen lassen sollte.
Und der Admin für AD, Windows, Exchange usw muss noch lange nicht Admin in anderen Fachanwendungen sein. Bei uns ist bspw. der Leiter Fibu Admin in der Fibu-Anwendung und Onlinebanking statt einer aus der IT.

Manuel

BTW: Wenn man es so handhabt wie wohl die meisten und im besonderen Ausnahmefall das Kennwort zurücksetzt merkt der User den es betrifft das spätestens wenn er sich wieder anmelden will und das nicht funktioniert. Um nicht in dem Zusammenhang mit dem Gesetz in Konflikt zu kommen wird allgemein ja auch immer empfohlen jegliche Privatnutzung der Arbeitsmittel zu untersagen. Dann gibt es nämlich per Definition keine Daten die nicht dem Unternehmen "gehören".
Member: MysticFoxDE
MysticFoxDE Jan 05, 2023 at 20:32:48 (UTC)
Goto Top
Poor Input - Poor Output. Das Prinzip gilt einfach überall.
Sag das mal meiner Freundin.... face-big-smile

😮 ... aber erst, nachdem er dasselbe auch meinem Hausdrachen !! erfolgreich !! vermitteln konnte. 😉🤪
Member: maretz
maretz Jan 06, 2023 at 05:48:46 (UTC)
Goto Top
Die Perso war auch nur ein Beispiel - natürlich gibt es mehrere Personen die ihr Passwort tunlichst nicht teilen sollen.

Was ich meinte ist aber: Man muss eben trotzdem überlegen wo man das Limit setzt (und dies ist idR. nicht mal die Aufgabe der IT). Es gibt ja auch das umgekehrte Beispiel: Nimm mal im Supermarkt die Person an der Kasse. Natürlich SOLLTE die ihre Anmelde-PIN an der Kasse nicht weitergeben - klar. Gleichzeitig seh ich aber häufig das die eben nur nen "Touch-Screen" haben mit ner riesigen Tastatur so das du fast schon vom Laden-EINGANG sehen kannst was die da tippt. Da ist es dann schon ziemlich unsinnig wenn man ankommt mit "aber auf gar keinen Fall weitergeben, das ist total böse" wenn die gar keine CHANCE hat das Passwort zB. so einzugeben das der Kunde (und die Kassiererin/der Kassierer an der nächsten Kasse) das nicht ebenfalls völlig locker sehen kann...

Geh doch hier mal so durch die Einträge u. auch andere Threads durch. Da wird gerne so getan als wenn die IT der heilige Tempel ist und wenn zB. Passwörter weitergegeben werden ist das nahezu ne Todesstrafe, völlig unabhängig davon was die Personen tun. Und DA ist eben bei mir der Punkt wo ich sage das man schauen muss. So habe ich zB. verscheidene Passwörter - eines davon EXTRA dafür das ich es weitergeben kann... Und wenn man Mitarbeiter - gleich welcher Abteilung - da eben mitnimmt funktioniert es auch mit einer sowohl sicheren Umgebung die aber gleichzeitig das Arbeiten nicht blockiert...
Member: Coreknabe
Coreknabe Jan 06, 2023 at 08:23:31 (UTC)
Goto Top
Moin,

Passwörter sind einfach überbewertet. Man muss das einfach derart doof gestalten, dass der Angreifer den Zaunpfahl übersieht, weil der viel zu groß ist. Andere sind abgeschreckt und fühlen sich in ihrer Ehre verletzt, weil eine derart ungeschützte Umgebung definitiv nichts wichtiges beherbergen kann. Nur vor destruktiven Naturen muss man sich in Acht nehmen.

Beispiel bei uns: Als ich 2008 in unserer Hochschule angefangen habe, hatten alle Studenten ein fest definiertes Passwort, das sie auch nicht ändern konnten: Matrikelnummer-Geburtsdatum. Jaha, da sind Buchstaben drin und ganz viele Zahlen auch. Das WLAN war mit WEP "geschützt", den WEP-Schlüssel hat jeder Student bekommen, der Schlüssel wurde auch nie geändert. Ist aber auch nicht schlimm, weil der Schlüssel in etwa die Syntax 12345678890 hatte. WLAN-Zugang hat aber ohnehin nichts genutzt, weil die guten Linksys-SOHO-Billo-APs keinen auch nur annähernd zuverlässigen Netzwerkzugang ermöglichten.
Zu meinem Glück habe ich das dann von meinen beiden VorgängerInnen übernommen und musste dieses Elend nicht mehr mitmachen.

Insofern: Schlimmer geht immer face-wink
Member: JoeToe
JoeToe Jan 06, 2023 at 10:52:29 (UTC)
Goto Top
Moin.

Simple Lösungen:
  • Das kompliziert-einfache Passwort auf die Rückseite der jeweiligen Tastatur kleben. Ich dachte, die Sitte wäre ausgestorben, bis ich letztes Jahr akkuraten Aufklebern aus dem Etikettendrucker auf Tastaturrückseiten begegnete.
  • Oder gleich das sicherste Passwort der Welt Mb2.r5oHf-0t für alles und alle vergeben; leicht zu merken ist es zwar nicht, dafür kann man es schnell ergoogeln.

Gruß
JoeToe
Mitglied: 2423392070
2423392070 Jan 06, 2023 at 11:13:07 (UTC)
Goto Top
Wir sind, auch wegen dem Problem hier, recht weiter mit unserer 2FA Strategie. Da ist die "Qualität" der Kennwörter nicht mehr so wichtig.
Unsere Enterprise-IT mit deren fleischgewordenen User sind zu über 99% 2FA mit virtueller Smartcard durch Yubikeys und z. B. unserer Produktion-IT MES/BDE Systeme sind im laufe des Jahres bei 50% sicherlich angekommen.
Ende diesen Jahres ist sogar das VPN für externe zu 97%+ mit 2FA. (Zielvorgabe)

Und wie schon erwähnt. Alles eine Frage der Perspektive. Herr und Frau Ehepaar Urologie vom Kanzler kennen auch das gemeinsame Kennwort und es wäre schützenswert, ob der Kanzler untenrum...
Member: AnkhMorpork
AnkhMorpork Jan 10, 2023 at 15:11:58 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Poor Input - Poor Output. Das Prinzip gilt einfach überall.
Sag das mal meiner Freundin.... face-big-smile

😮 ... aber erst, nachdem er dasselbe auch meinem Hausdrachen !! erfolgreich !! vermitteln konnte. 😉🤪

Ich habe auch nen Hausdrachen!! - Verwandschaft??
Ist ne Vela-Spezies ...